Skip to content
Aiqon Blog
Hipaa compliance
Segurança de dados

O que é o HIPAA Compliance

Publicado

A lei de portabilidade e responsabilidade de convênio médico (HIPAA, na sigla em inglês) é uma lei desenhada para proteger a privacidade individual estabelecendo padrões na indústria americana para manter a informação de saúde do paciente e registros médicos. As diretivas da HIPAA compliance podem ser utilizadas como boas práticas para ambientes de saúde com relação a LGPD.

Neste artigo, daremos detalhes dos requisitos da HIPAA e oferecer todos os detalhes que a sua organização precisa saber da perspectiva de segurança de TI para garantir a conformidade com a HIPAA.

Nesse Artigo

O que é a conformidade HIPAA?

Os requisitos para a conformidade HIPAA demanda padrões para proteger os prontuários eletrônicos dos pacientes e os dados médicos. A HIPAA foi estabelecida para atingir diversos objetivos:

  • Aprimorar a área da saúde
  • Proteger a privacidade do paciente
  • Requer que as entidades ofereçam registros médicos para os pacientes quando requisitadas.
  • Melhora a portabilidade do convenio médico
  • Garante que os pacientes sejam notificados no evento de brechas de dados de saúde

Artigos relacionados

Atendendo artigos da LGPD – Artigo 43

O que é a Informação de saúde protegida (PHI)?

Para entrar em conformidade com a HIPAA, a organização deve ter as medidas de segurança de dados apropriada para proteger a informação da saúde.

A informação de saúde protegida (PHI) é qualquer informação pessoal identificável de saúde que é transmitida ou armazenada eletronicamente, no papel ou verbalmente. A PHI inclui informações sobre um indivíduo que se diz respeito a saúde do seu passado, presente ou futuro; detalhes dos tratamentos de saúde; e informação de pagamento que pode identificar um indivíduo. Exemplos de PHI incluem:

  • Números de segurança social (RG, CPF, etc)
  • Nome
  • Datas de nascimento, morte ou tratamento e outras datas relacionadas ao cuidado do paciente
  • Fotografias
  • Informações de contato
  • Registros de números de exames médicos

Quem deve estar em conformidade com a HIPAA?

A HIPAA regula a informação para dois grupos que gerenciam dados de tratamento de saúde de pacientes:

  • Entidades cobertas
  • Associadas de negócios

O que é uma entidade coberta?

Uma entidade coberta é uma pessoa ou organização que processa e mantem o PHI para clientes. Exemplos incluem doutores, farmácias, casas de enfermagem, clinicas e companhias de convênios médicos.

Entretanto, nem toda organização que lida com informação de saúde é considerada uma entidade coberta. Um exemplo são as organizações que realizam pesquisa que não oferecem serviços de tratamento de saúde e não transmitem informações do mesmo em conexão com qualquer transação coberta pela regulação da HIPAA.

O que é uma associada de negócio?

Uma associada de negócio é uma organização que oferece serviços para entidades cobertas auxiliando-as com funções e atividades de tratamento de saúde. Entidades cobertas podem divulgar a PHI para associadas de negócio para auxílios nas funções de tratamento de saúde mas não para propósitos de uso independente das associadas de negócio.

No geral, um contrato ou acordo com uma associada de negócio é necessário para estabelecer a relação entra a entidade coberta e a associada de negócio. Em alguns casos, o acordo não é necessário, sendo apenas necessário que as organizações façam suas próprias pesquisas.

Leia também:  Política de segurança de dados e proteção de dados dos clientes

Como a HIPAA protege a privacidade dos pacientes

A forma primária da HIPAA de proteger o paciente é a regra de privacidade. A regra de privacidade oferece padrões de uso e divulgação das informações de saúde dos indivíduos. Ela também criou padrões para os direitos de privacidade dos pacientes e controles sobre a informação do uso da informação referente a saúde deles.

Direitos de acesso dos pacientes a PHI

Os pacientes individuais têm direito de acessar a sua própria informação de saúde sob a regra de privacidade. Eles podem também designar quem mais pode ver sua PHI com uma documentação escrita e assinada.

Quando um paciente requisita a PHI, a informação normalmente é entregue em um conjunto de registros designados que contém:

  • Faturamento e registros médicos como resultados de exames de laboratório, registros de tratamento e raio-x
  • Informações de reclamações, inscrição e pagamento para o plano de saúde do paciente
  • Outros registros usadas para tomar decisões sobre o paciente

Algumas informações são excluídas do conjunto de registros designados, já que essas informações não foram usadas para tomar decisões. Esses dados incluem:

  • Registros de segurança do paciente
  • Controle de qualidade da informação
  • Informação coletada para procedimentos legais

dsar

Cumprindo requisições de PHI

Uma entidade coberta pode requerer requisições de PHI por escrito ou através de comunicação eletrônica como e-mail ou um portal na web. A entidade coberta pode não criar uma medida razoável para requisições ou verificações e também não podem atrasar o acesso de um paciente.

As requisições podem ser preenchidas em formato eletrônico ou no papel, dependendo da informação requisitada. A entidade coberta deve oferecer a informação requisitada em até 30 dias do calendário após a requisição.

A entidade coberta pode cobrar tarifas para recuperar custos incorridos de:

  • Criar cópias
  • Compra de suprimentos para a requisição
  • Postagem
  • Preparar resumos do PHI, caso de acordo pelo individuo

Em certos casos, a entidade coberta poderá negar uma requisição de PHI. Essas circunstancias incluem:

  • Notas de psicoterapia
  • PHI que é parte de uma pesquisa de estudo em andamento
  • Situações quando o acesso pode causar danos a alguém.

Segurança e Privacidade EHR

Em setembro de 2013, os legisladores incorporam a lei HITECH na HIPAA com a lei Omnibus. A lei HITECH foi designada para encorajar as provedores de plano de saúde a usar registros de saúde eletrônico (EHRs), também conhecida como ePHI. A lei HITECH também  estipula que as entidades encontradas que não estiverem em conformidade com a HIPAA podem ser submetidas a multas.

Transações padrões da HIPAA

A HITECH endereça as transações padrões na lei de Conjunto de códigos e transações (TCS em inglês). A lei TCS adota padrões para a transmissão eletrônica de dados de tratamento de saúde entre provedoras, seguradoras de saúde e clientes de planos de saúde.

Gerenciamento de segurança para a HIPAA

A Regra de segurança da HIPAA

Para garantir a segurança das EHRs, a regra de segurança da HIPAA estabelece padrões seguros para as entidades cobertas e associadas de negócio. De acordo com a regra, as entidades cobertas devem:

  • Garantir a confidencialidade, integridade e disponibilidade de todos os ePHI que eles criam, recebem, mantém ou transmitem.
  • Identificar e proteger contra ameaças antecipadas para a segurança ou integridade da informação
  • Proteção contra uso ou divulgação não autorizada
  • Garantir conformidade pela força de trabalho

Para garantir a conformidade com a regra de segurança da HIPAA, uma organização pode seguir guias estabelecidos pelo instituto nacional de padrões e tecnologias (NIST), que inclui controles e recomendações de política para as organizações implementarem a HIPAA.

Leia também:  Privacidade de Dados: Problemas, preocupações e tendências em 2020

Proteções da HIPAA

A NIST descreve três categorias de proteção do EHR:

  • Proteção administrativa
  • Proteção técnica
  • Proteção física

Essas proteções podem ser requeridas (devem ser implementadas) ou endereçáveis (podem ser implementadas se razoáveis e apropriadas para o ambiente).

Proteção administrativa

  • Processo de gerenciamento de segurança: Use sistemas para detectar, prevenir, conter e corrigir violações de segurança.
  • Atribuição da responsabilidade segurança: Designe o oficial responsável para a implementação e desenvolvimento de políticas e procedimentos.
  • Força de trabalho de segurança: Garanta acesso a ePHI apenas para funcionários que precisam deles e previna acesso não autorizado de outros usuários.
  • Gerenciamento de acesso a informação: Use sistemas de segurança para autorizar o acesso a ePHI.
  • Treinamento e consciência de segurança: Treine os funcionários com as práticas e cuidados com a segurança dos dados.
  • Procedimentos de incidentes de segurança: Estabeleça controles de incidentes de segurança.
  • Planos de contingência: Desenvolva um plano de gerenciamento de emergência para danos em sistemas.
  • Reavaliação: Realize reavaliações periódicas de sistema para medir a segurança dos dados e a sua confiabilidade.

Proteção técnica

  • Controle de acesso: Permita acesso apenas a indivíduos ou programas dos quais você concedeu direito de acesso.
  • Controles de auditoria: Use sistemas para registrar e examinar a atividade relacionada ao ePHI
  • Integridade: Estabeleça meios de prevenir a mal gerenciamento da
  • Autenticação de pessoa ou entidade: Use sistema de segurança com medidas de verificação robustas
  • Transmissão segura: Implemente medidas de segurança para se manter protegido contra acesso a ePHI não autorizado durante a transmissão eletrônica

Proteção física

  • Controle de acesso as instalações: Limite o acesso físico a ePHI
  • Uso da estação de trabalho: Estabeleça fluxos de trabalho e requisitos de configuração para as estações de trabalho onde a ePHI é acessada.
  • Segurança da estação de trabalho: Restrinja o uso das estações de trabalho a usuários autorizados.
  • Controle de dispositivo e mídias: Controle a adição e remoção de hardware e mídia que contém ePHI

Análise de risco de dados

Sob as diretrizes do processo de gerenciamento de segurança, a regra de segurança requer análise de risco ou avaliação e gerenciamento de risco.

A diretriz da NIST sobre a análise de risco de dados tem diversos passos, incluindo:

  1. Identificar vulnerabilidades e ameaças
  2. Avaliar a segurança dos dados atual
  3. Determinar a probabilidade de ameaça e potenciais impactos

Conteudo relacionado
O custo de um vazamento de dados e como pode arruinar o seu negócio

Custo das violações da HIPAA

Notificação de brecha

Uma brecha é qualquer uso ou divulgação não autorizada da PHI sob a lei de privacidade. Em alguns casos uma organização pode demonstrar a baixa probabilidade de PHI comprometidos com base na análise de risco

Se uma brecha de dados ocorrer, a organização deve notificar os indivíduos afetados por carta ou e-mail, alertar a imprensa e criar um relatório para a secretaria HHS através de um formulário online, tudo dentro de 60 dias.

Multas e penalidades da HIPAA

Quando uma brecha resulta em violações da HIPAA, a regra de aplicação da HIPAA conduz as investigações, as audiências e as multas. Causas comuns de penalidades incluem dispositivos não criptografados serem perdidos ou roubados, falta de treinamento dos funcionários, brechas nos bancos de dados e informações do paciente sendo faladas no escritório.

A lei HITECH define quatro níveis para as violações:

  • Tier A: Violação onde uma pessoa ou entidade não sabia que ela tinha cometido uma violação
  • Tier B: Violação de causa razoável mas não por negligencia
  • Tier C: Violação por negligencia, mas a pessoa ou entidade pode amenizar a situação.
  • Tier D: Tier C onde a situação não foi amenizada após 30 dias.

A HHS OCR publica as violações no “mural da vergonha” no seu site. Outros sites publicam multas e links aos assentamentos. Exemplos recentes incluem:

  • Em setembro de 2020, a Premera Blue Cross foi multada em US$6.850.000 para resolver uma brecha de dados afetando mais de 6 milhões de indivíduos.
  • Em julho de 2020, a Lifespan Health System foi multando em mais de US$1 milhão por um laptop roubado que não estava criptografado.
  • Em Outubro de 2019, a Elite Dental Associates foi multada em US$10.000 por divulgação de informação de paciente nas redes sociais.

hipaa ompliance

Artigos recomendados

Comente o que achou do artigo